1.進(jìn)入安全模式

     在計(jì)算機(jī)啟動時(shí),，按F8鍵,，會出現(xiàn)系統(tǒng)啟動菜單,，從中可選擇進(jìn)入安全模式。

     2.將計(jì)算機(jī)與網(wǎng)絡(luò)斷開,，防止黑客通過網(wǎng)絡(luò)繼續(xù)對你進(jìn)行攻擊,。

     3.顯示所有文件和文件夾（包括隱含文件和系統(tǒng)保護(hù)文件）    

     4.禁用系統(tǒng)還原

     右鍵“我的電腦”→系統(tǒng)屬性→“在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”前打上勾→應(yīng)用（釋放硬盤空間、該空間有可能受到病毒攻擊）

     5.刪除病毒/木馬程序的自啟動項(xiàng)

     打開注冊表編輯器：開始→運(yùn)行→輸入：regedit→確定

     查找自啟動項(xiàng)

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夾下的三個(gè)子件夾

     Run

     RunOnce

     Runservices

     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夾下的三個(gè)子件夾：

     Run

     RunOnce

     打開系統(tǒng)配置實(shí)用程序：開始→運(yùn)行→輸入：msconfig→確定

     （如果Windows2000無此文件,，可運(yùn)行共享文件夾中的msconfig.exe） Fom）

     檢查：win.ini,、system.ini啟動配置文件中的加載項(xiàng)

     win.ini的[windows]字段中

     run=

     load=

     一般情況下“＝”后面是空白的，如果有后跟程序,，如：

     run=c:\windows\file.exe

     load=c:\windows\file.exe

     其中的file.exe很可能是病毒

     system.ini的[boot]字段中

     shell= explorer.exe file.exe

     一般情況下“explorer.exe”后面是空白的,，如果有后跟程序，如：

     shell= explorer.exe file.exe

     其中的file.exe很可能是病毒 4 ）

     system.ini的[386Enh],、[mic],、[drivers]、[drivers32]字段中

     driver=“路徑\程序名”

     檢查其它啟動配置文件,、初始化文件,、系統(tǒng)配置文件中的加載項(xiàng)：

     winint.ini：多用于安裝

     winstart.bat：由應(yīng)用程序、Windows自動生成,、Win.com加截多數(shù)驅(qū)動程序后產(chǎn)生,，與Autoexec.bat功能相同。

     autoexec.bat（一般為隱含屬性,，掌握對隱含屬性文件的搜索）

     config.sys（同上）

     檢查啟動組：開始→程序→啟動,，其中的啟動項(xiàng)內(nèi)容。

     對應(yīng)注冊表中的位置：

     HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup

     人工查殺步驟：先殺進(jìn)程,、再刪除病毒文件,、最后修復(fù)注冊表。 j'fP#d%2T1注冊表或進(jìn)程表中發(fā)現(xiàn)了病毒,，先在進(jìn)程表中殺進(jìn)程

     打開任務(wù)管理器,，找到病毒程序的進(jìn)程，終止運(yùn)行,。

     如果不能終止,，可運(yùn)行其它監(jiān)視進(jìn)程的工具軟件進(jìn)行終止。

     如果仍然不能終止只能重啟后進(jìn)入安全模式,，并斷開與網(wǎng)絡(luò)的連接,。

     在DOS窗口中刪除病毒文件，也可在資源管理器中刪除,，但病毒可能會自行恢復(fù),。

     重啟后回到注冊表搜索、刪除全部病毒的殘余信息,，尤其是啟動項(xiàng)中的信息,。